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©Verfahren zur gegenseitigen Authentikation 

(§) Bet den bekannten Verfahren der Authentikation bestehen 
Probleme durch Lucken in der Sicherung des geheimen 
SchlOssets. die aus der Zwischenschaltung von achnellen 
Moduln SM resultieren. 

Eine Losung dieser Probleme schafft dos Verfahren, sowohl 
die Identitatsncchwetse (Chtpkarten) als auch die VerschlOs- 
selungsmodula vor der Ausgabe geschutzt zu personelisie- 
ren und bei einer Kommuntkation authentifizieren sich die 
Teilnehmer der Endstellen zunachst nacheinender gegenset- 
tig und erzeugen debet eine sttzungsspezifische Zusatzzehl. 
Erst danach fuhren die achnellen Moduln SM in re gegensei- 
tfge Authentrffkation durch. wo bei gesicherte Informationen 
uber beide beteiltgten Teilnehmer gebildet werden. 
Es werden so spatere mtSbrauchliche Authentikationen 
ausgeschlossen and auch ein stcherer teil- Oder vpllautoma- 
b bschec Betrieb sowie ein Sichorheitsmanagement werden 
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Die Erfindung betrifft ein Verfahren zur gegenseiti- 
gen Authentication der im Oberbegriff des Patentan- 
spruch 1 naher bezeichneten Art 

Solchc kryptografisch gestQtzte Authentikationsver- 
fahrcn. z. B. gcmflO CCITT Empfchlung X.509, arbcitcn 
allgemein nach der "Challenge- Response" Methode. Sol] 
zwischen zwei kommunizierenden Parteien eine gegen- 
seitige Authentikation erfolgen, so sendet jede der Par- 
teien der jeweils anderen eine sitzungsspezifische Zu- 
fallszahl zu, welche diese mit einem sie identifizierenden 
(und persdnlich zugeordneten) kryptografischen Sch!0s- 
sel verschlusselt ("unterschreibt") und zur Verifikation 
zurQcksendet 

Die beschriebene gegenseitige Authentikation wird 
Ober den Austausch sogenannter "Authentikations-To- 
ken" abgewickelt, welche den funktionalen Teil des zu- 
gehdrigen Sicherheitsprotokolls bilden. Im Rahmen die- 
ser Authentikations-Token wird in der Regel auch ein 
geheimer Schlussel zwischen den kommunizierenden 
Parteien vereinbart, mit dessen Hilfe beide Parteien 
nach erfolgreicher gegenseitiger Authentikation ihren 
anschlieBenden Dialog verschlUsseln. Damit wird auch 
der nachfolgende Dialog gegen Angriffe von dritter Sei- 
te geschOtzt und damit insoweit fQr die kommunizieren- 
den Parteien authentisch. 

Das oben erwahnte Authentikationsverfahren wird 
iiblicherweisc so realisicrt, daB die zu authentifizieren- 
den Parteien A und B, welche in der Regel Personen 
sind, ihre Identitltsnachweise in Form von Identifikato- 
len (z.B. Zertifikate) und geheimen persdnlichen 
SchlQsse! auf einer CPU-Chipkarte erhalten. 

Die VerschlOsselung des Dialoges (z. B. eines Telefon- 
gespraches, einer Videokonferenz oder einer Daten- 
kommunikation) zwischen den kommunizierenden Par- 
teien A und B erfolgt fiber je ein schneUes Verschlussel- 
ungsmodul SM-A und SM-B in den bcHen Endgeraten, 
weil daffir der Verschlusselungsdurchsatz der Chipkarte 
m-istens aus normungstechnischen Grtinden nicht aus- 
reichen wGrde. 

Oblicherweise wird bei der Implementation einer sol- 
chen Konfiguration das eigentlich far die kommunizie- 
renden Parteien A und B vorgesehene Authentikations- 
protokoll einfach zwischen den VerschlQsselungsmodu- 
Jen SM-A und SM-B abgewickelt. Dabei muB der gehei- 
me Schlussel der Parteien relativ ungeschatzt von den 
Chipkarten zu deren Verschlfisselungsmodulcn Ober- 
mittelt und dort nach Sitzungsende wieder geldscht 
werden. Daraus resultieren einige bisher unbefriedigend 
berficksichtigte Probleme: 

Bei der UnterstQtzung von Authentikationsprozessen 
zwischen Chipkarten oder ahnlich langsamen Moduln 
als Sicherheitskomponenten durch schnelle Verschifis- 
selungsmodule werden geheime Schlussel ungeschatzt 
und/oder nicht authentisch von den langsamen Moduln 
in die schnellen VerschlQsselungsmodule transferiert 
Die eigentliche Authentikation Qbernimmt das schnelle 
Verschlfisselungsmodul dann unkontrolliert, quasi "stell- 
vertretend" f Or das langsame Modul. 

Nachteilig for den so Authentifizierten ist, daB er den 
eigentlichen AuthentikationsprozeB aus rein implemen- 
tations-spezifischen Grtinden nicht mehr kontrollieren 
kann und so mit seinem geheimen SchlQssel sein wich- 
tigstes Geheimnis aus der Hand gibt und es dw.i schnel- 
len VerschlQsselungsmodul SM ermoglicht, zu beliebi- 
gen spateren Zeitpunkten beliebig viele miBbrauchliche 
Authentikationen in seinem Namen durchzufdhren. 
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In vielen Fallen wird der eiwahnte Authentikations- 
prozeB zwischen Mensch und Maschine, z. B. zwischen 
Operator und Host, durchgefflbrt. Auf Host-Seite mufl 
fur den Identitatsnachweis eine automatische Instanz 
quasi die Konfiguration eines fest mit einer fiktiven 
Chipkarte verbundenen schnellen VerschlfiBIers nach- 
bildcn. Die Bctricbswcise solcher mit Authentications 
verfahren ausgestatteter Endsysteme kann nur lokal, 
von Hand und ungesichert umgestellt werden. Es gibt 
derzeit kern sicheres und zur ublichen Mensch zu 
Mensch Kommunikation passendes Authentikations- 
verfahren ffir einen derartigen automatischen bzw. teil- 
automatischen Betrieb. 

Die Aufgabe der Erfindung besteht in der Oberwin- 
dungdieseraufgeffihrten Probleme. 

Diese Aufgabe wird erfindungsgemaB in der im 
Kennzeichen des Patentanspruchs 1 beschriebenen Art 
gelost 

Vorteilhafte Weiterbildungsmdglichkeiten dieser 
Verfahrensweise sind in den Kennzeichen der Patentan- 
spruche 2 und 3 beschrieben. 

Eine nahere Erklarung des Verfahrens nach der Erfin- 
dung nebst Wirkungsweise und Vorteilen ist den nach- 
folgenden Ausffihrungsbeispielen entnehmbar. In den 
25 zugehdrendenZeichnungenzeigendie: 

Fjg. 1 ein allgemeines Verfahrerisschema, 
Fig. 2 em ffir Automatikbetrieb erweitertes Schema 
una 

Fig. 3 eine Variante des Verfahrensschemas. 
?«7 .l pkart f n A und B und die VerschiOBler SM-A 
™ J^" ^J? 6 "' ? ie R * 1 2ei ^ von eir *r vertrau- 
enswOrdigen Ausgabestelle personalisiert und mit ei- 
nem ZertiHkat versehen und zwar unabhangig von der 
Tatsache daB die Chipkarte direkt vom Menfchen be- 
nutzt wird, der VerschlaBIer jedoch automatisch arbei- 

ck? a Chi P kar . t 5 ? es Partners A und der VerschlaBIer 
SM-A authentifizieren sich gegenseitig und erzeugen 
dabei eine sitzungsspezifische Zufallszahl 1 

Danach ruft das SM-A 'das SM-B zur Einleitung einer 
gegenseitigen Authentikatior. 2 auf. Zunachst muB das 
SM-B mit der Chipkarte des Partners B ebenfalls eine 
gegenseitige Authentikation 3 durchfahren. Erst dann 

♦fillT ^ Un ? ~ M ** ihre Wweitlge Authentika- 
tion 4 und 5 durch. Durch ihre Token werden auBerdem 
gesicherte Informationen Ober die am GesamtprozeB 
beteihgten Partner A und B zwischen beiden Endsyste- 
men ausgetauscht J 

Bei dem beschrieben Verfahren verlaBt der geheime 
Authentikationsschiassel menials das personalisierte 

X*^ 1 ?? ? h f0r aH ? Arten von Wentitatsnachweisen 
%h B ' Chl P fc arten f wie auch far VerschlaBIer. 

«sJ5? P k *? en U . nd VerschI «0Ier unterscheiden sich hin- 
St ^ Ausst&ttun « mit Personalisierungsdaten 

Das jeweilige Endsystern kann jede der am Authenti- 
£nt5Se!S beteiHgten Parteien sitzungsindividuell 
Bei den Weiterbildungen des Verfahren ist auf Beson- 
eo derheiten der beteiligten Parteien zusatzlich RQcksicht 
genommen. 

1st z, B. bei der Partei A ein Chipkartenbetrieb nicht 
vorgesehen, so arbeiten Chipkarte B und SM-B auf der 
einen Seite jeweils nur mit dem SM-A auf der anderen 
Seite zusammen. Das in F\g. 2 gezeigte erweiterte Ver- 
fahren i funktioniert ahnlich wie das oben beschriebene. 
JS* 0 -u St d !, bei . a ^«- vorgesehen. deO alle Ver- 
schlOBIer m ihrer Betnebsweise auf Chipkartenbetrieb 
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oder auf Betrieb olme Chipkarte (automatischer Be- 
trieb)umgeschaltet werden konnen. 

Die jeweilige Betriebsweise wird von der Partei A 
Qber den entsprechenden Konfigurationsfile des Endsy- 
stems durch den Chipkarteneinsatz a-A eingestellt. 5 

Eine zweite Weiterbildung des Verfahrens besteht 
darin, daB die Schnittstelle zur Chipkarte und den Ver- 
schlQBler beinhaltende Endsystem mit folgenden Zu- 
satzmerkmalen ausgestattet wird: 

Eine Konfigurationsdatei ermSglicht die Femeinstel- 10 
lung der Sicherheitsparameter, insbesondere die Ein- 
und Ausschaltung des beschriebenen automatischen Be- 
triebes durch das Sicherheitsmanagement 

Eine Rechteverwaltungsdatei nimmt per Ferneinstel- 
lung durch das Sicherheitsrrianagement eine Liste ver- 15 
schiedener, bestimmten Benutzern vorbehaitenen Be- 
nuizerprofile (Zrgriffsrechte) auf. 

Eine Auditing-Datei protokolliert die ZugSnge zum 
Endsystem und liefert sie per Fernabfrage an das Si- 
cherheitsmanagement ab. 20 

Die Kommunikation des Endsystems mit dem Sicher- 
heitsmanagement-System erfolgt gesichert Qber das 
oben beschriebene auch filr die gegenseitige Partner 
A/B Authentikation vorgesehene Verfahren und be- 
dient sich dabei z. B. auch der gleichen Kommunika- 25 
tions-Schnittstelle. 

Diese Endsysteme sind daher Qber ein zentrales Si- 
cherheitsmanagement erreichbar und k6nnen auch von 
dort aus fern-konfiguriert und -betrieben werden. Auch 
die FernGbermittlung von Benutzerprofilen, sowie der 30 
Fern-Abruf von Auditjng-Daten ist mfiglich. 

In der In Fig. 3 dorgestellten Variant© des Verfahrens 
werden die Chipkarten A und B und die schneilen Sl- 
cherheitsmodule SM-A und SM-B von einer vertrauens- 
wOrdigen Person pprsonalisiert 35 

Damit die schneilen Sicherheitsmodule SM-A bzw. 
SM-B ilberhaupt eine Verbindung aufnehmen, muB eine 
gegenseitige Authentikation von den jeweiligen Chip- 
karten A: 1 bzw. B: 2 erfolgen. Bei dieser Authentikation 
wird jeweils eine sitzungsspezifische Zufallszahl ver- 40 
wendel 

Danach ruft 3 der schnelle Sicherheitsmodul" SM-A 
den schneilen Sicherheitsmodule SM-B auf und teiit den 
Verbindungsaufbauwunsch mit und sendet die Zertifi- 
kate von Chipkarte A und SM-A mit 45 

Falls der schnelle Sicherheitsmodul SM-B bzw. Chip- 
karte B (der Besitzer von B) den Verbindungsaufbau- 
wunsch akzeptieren, senden diese 4 die Zertifikate von 
Chipkarte B und SM-B sowie eine verschlOsselte Zu- 
fallszahl Zl. 50 

Danach sendet SM-A einen, Token 5, der von SM-A 
und Chipkarte A unterschrieben ist, und der verschlQs- 
selt den SitzungsschlQssel, die Zufallszahl Zl, sowie eine 
neue Zufallszahl Z2 zur Authentikation enthait 

SM-B antwortet 6, nachdem eine EntschlQsselung des 55 
Token 5 stattfand, die Zufallszahl Z2 zurflck und weist 
sich somit als authentisch aus. 
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1. Verfahren zur gegenseitigen Authentikation, bei 
dem sich die beiden kommunizierenden Parteien 
gegenseitig zuerst mittels sogenannter "Authenti- 
kations-Token* eine sitzungsspezifische Zufallszahl 
zusenden und diese, mit einem sie identifhierenden 65 
kryptografischen SchlUssel versehen, zur Verifika- 
tion zurOcksenden, wobei ein geheimer SchlUssel 
for den anschlieBcnden Dialog vereinbart wird und 



wobei beiderseits Identitatsnachweise (Chipkarten) 
und schnelle Verschlusselungsmodule verwendet 
werden, dadurch gekennzeichnet, daB die Identi- 
tatsnachweise (Chipkarten) und die VerschlDssel- 
ungsmodule von einer unabhangigen Ausgabestel- 
le vor der Ausgabe bzw. Einsatz personalisiert wer- 
den, sich zuerst auf der Endstelle der ersten Seite A 
und danach auch auf der zweiten Seite B gegensei- 
tig authentifizieren und daB erst danach die beiden 
Verschlusselungsmodule SM-A und SM-B ihre ge- 
genseitige Authentifikation durchftJhren, daB bei 
einer dieser Authentifikationen zwischen den bei- 
den VerschlOsselungsmodulen mittels einer sit- 
zungsspezifischen Zufallszahl eine nachrichtenspe- 
zifische geheime Nachricht erzeugt wird und daB 
dabei gesicherte Informaticnen Qber die beiden be- 
teiligten Partner gebildet werden. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB die sitzungsspezifische Zufallszahl 
vom VerschlGsselungsmodul SM-B der zweiten 
Seite gebildet und vom Verschlflsselungsmodu! 
SM-A der ersten Seite bestatigt wird. 

3. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB als sitzungsspezifische Zufallszahl 
beim akzeptieren eines Verbindungsaufbauwun- 
sches vom VerschlQsselungsmodul SM-B der zwei- 
ten Seite zuerst eine erste Zufallszahl Zl gebildet 
und mit den Zertifikaten der ersten Seite verschlus- 
selt an die erste Seite SM-A gesendet wird, und daB 
danach die erste Seite SM-A in einem Token (5% 
der von SM-A und Chipkarte A unterschrieben und 
verschluwelt 1st, mft dem Sltzungischlttsscl und der 
Zufallszahl Z! eine neue zwefte Zufallszahl Z2 zur 
Authentikation sendet, die zuletzt SM-B nach Ent- 
schlQsselung als authentisch bestatigt 

4. Verfahren nach Anspruch 1 und 2, dadurch ge- 
kennzeichnet, daB der Identitatsnachweis fflr die 
Verschlusselungsmodule der Endstellen zur gegen- 
seitigen Authentikation wahlweise auch durch ein 
Sicherheitsmanagement-System durchgefQhrt wer- 
den kann. 

5. Verfahren nach Anspruch 1, 2 und 4, dadurch 
gekennzeichnet, daB in den Endstellen eine Konfi- 
gurationsdatei for die Femeinstellung durch das Si- 
cherheitsmanagement-System, eine Rechteverwal- 
tungsdatei fOr die Benutzerberechtigunger* und ei- 
ne Auditingdatei fur die Zugangsregistrierung an- 
gelegt werden. 
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